Conecte os servidores habilitados do Azure Arc ao Azure SentinelConnect Azure Arc enabled servers to Azure Sentinel

Este artigo fornece orientações sobre como embarcar Azure Arc habilitado servidores a Azure Sentinel.This article provides guidance on how to onboard Azure Arc enabled servers to Azure Sentinel. Isto permite-lhe começar a recolher eventos relacionados com a segurança e começar a correlacioná-los com outras fontes de dados.This enables you to start collecting security-related events and start correlating them with other data sources.

Os seguintes procedimentos permitirão e configurarão o Azure Sentinel na sua assinatura Azure.The following procedures will enable and configure Azure Sentinel on your Azure subscription. Este processo inclui:This process includes:

  • Criação de um espaço de trabalho Log Analytics onde registos e eventos são agregados para análise e correlação.Setting up a Log Analytics workspace where logs and events are aggregated for analysis and correlation.
  • Ativar Azure Sentinel no espaço de trabalho.Enabling Azure Sentinel on the workspace.
  • O Azure Arc ativou servidores no Azure Sentinel utilizando a funcionalidade de gestão de extensão e a Política Azure.Onboarding Azure Arc enabled servers on Azure Sentinel using the extension management feature and Azure Policy.

Importante

Os procedimentos neste artigo pressupõe que já implementou VMs, ou servidores que estão a funcionar no local ou em outras nuvens, e que os ligou ao Arco de Azure. Se não o fez, as seguintes informações podem ajudá-lo a automatizar isto.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

Pré-requisitosPrerequisites

  1. Clone o repositório Azure Arc Jumpstart.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Como mencionado, este guia começa no ponto onde já implementou e ligou VMs ou servidores de metal nu a Azure Arc. Para este cenário, utilizamos uma instância da Google Cloud Platform (GCP) que já foi ligada ao Arco Azure e é visível como um recurso no Azure.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. Como mostrado nas seguintes imagens:As shown in the following screenshots:

    Uma imagem de uma visão geral de um servidor ativado pelo Azure Arc no portal Azure.

    Uma imagem mostrando os detalhes de um Azure Arc Server no portal Azure.

  3. Instale ou atualize o Azure CLI.Install or update Azure CLI. O Azure CLI deve estar a executar a versão 2.7 ou mais tarde.Azure CLI should be running version 2.7 or later. Utilize az --version para verificar a sua versão instalada atual.Use az --version to check your current installed version.

  4. Criar um diretor de serviço Azure.Create an Azure service principal.

    Para ligar um servidor VM ou de metal nu ao Azure Arc, é necessário o principal do serviço Azure atribuído à função Contribuinte.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Para criá-lo, inscreva-se na sua conta Azure e execute o seguinte comando.To create it, sign in to your Azure account and run the following command. Em alternativa, isto também pode ser feito em Azure Cloud Shell.Alternatively, this can also be done in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Por exemplo:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    A saída deve ser assim:Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

Nota

Recomendamos vivamente que se encate o principal do serviço a um grupo específico de subscrição e recursos da Azure.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Inclusão do Azure SentinelOnboard Azure Sentinel

O Azure Sentinel utiliza o agente Log Analytics para recolher ficheiros de registo para servidores Windows e Linux e reencaminhou-os para o Azure Sentinel.Azure Sentinel uses the Log Analytics agent to collect log files for Windows and Linux servers and forwards them to Azure Sentinel. Os dados recolhidos são armazenados num espaço de trabalho do Log Analytics.The data collected is stored in a Log Analytics workspace. Uma vez que não é possível utilizar o espaço de trabalho predefinido criado pelo Azure Security Center, é necessário um espaço personalizado.Since you can't use the default workspace created by Azure Security Center a custom one is required. Você poderia ter eventos crus e alertas para o Azure Security Center dentro do mesmo espaço de trabalho personalizado que Azure Sentinel.You could have raw events and alerts for Azure Security Center within the same custom workspace as Azure Sentinel.

  1. Crie um espaço de trabalho dedicado ao Log Analytics e permita a solução Azure Sentinel no topo do mesmo.Create a dedicated Log Analytics workspace and enable the Azure Sentinel solution on the top of it. Utilize este modelo de Gestor de Recursos Azure (modelo ARM) para criar um novo espaço de trabalho log Analytics, definir a solução Azure Sentinel e capacitá-la para o espaço de trabalho.Use this Azure Resource Manager template (ARM template) to create a new Log Analytics workspace, define the Azure Sentinel solution, and enable it for the workspace. Para automatizar a implementação pode editar o ficheiro de parâmetrosdo modelo ARM, fornecer um nome e localização para o seu espaço de trabalho.To automate the deployment you can edit the ARM template parameters file, provide a name and location for your workspace.

    Uma imagem de um modelo ARM.

  2. Implemente o modelo do Resource Manager.Deploy the ARM template. Navegue para a pasta de implantação e executar o seguinte comando.Navigate to the deployment folder and run the following command.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Por exemplo:For example:

Uma imagem do comando "az deployment group create".

A bordo do Arco Azure viabilizou VMs em Azure SentinelOnboard Azure Arc enabled VMs on Azure Sentinel

Depois de ter implantado o Azure Sentinel no seu espaço de trabalho Log Analytics, precisa de ligar as fontes de dados ao mesmo.After you've deployed Azure Sentinel to your Log Analytics workspace, you need to connect data sources to it.

Existem conectores para serviços da Microsoft e soluções de terceiros do ecossistema de produtos de segurança.There are connectors for Microsoft services, and third-party solutions from the security products ecosystem. Também pode utilizar o Formato Comum de Eventos (CEF), syslog ou REST API para ligar as suas fontes de dados ao Azure Sentinel.You can also use Common Event Format (CEF), syslog, or REST API to connect your data sources with Azure Sentinel.

Para servidores e VMs, pode instalar o agente do Microsoft Monitoring Agent (MMA) ou o agente Azure Sentinel que recolhe os registos e os encaminha para o Azure Sentinel.For servers and VMs, you can install the Microsoft Monitoring Agent (MMA) agent or the Azure Sentinel agent that collects the logs and forwards them to Azure Sentinel. Pode implantar o agente de várias formas com o Arco Azure:You can deploy the agent in multiple ways with Azure Arc:

  • Gestão de extensões: Esta funcionalidade nos servidores ativados do Azure Arc permite-lhe implementar as extensões VM do agente MMA para um Windows ou VMs não-Azure.Extension management: This feature in Azure Arc enabled servers allows you to deploy the MMA agent VM extensions to a non-Azure Windows or Linux VMs. Pode utilizar o portal Azure CLI, um modelo ARM e script PowerShell para gerir a implementação de extensão para servidores ativados pelo Arco Azure.You can use the Azure portal, Azure CLI, an ARM template, and PowerShell script to manage extension deployment to Azure Arc enabled servers.

  • Política Azure: Pode atribuir uma política de auditoria se o servidor ativado pelo Arco Azure tiver o agente MMA instalado.Azure Policy: You can assign a policy to audit if the Azure Arc enabled server has the MMA agent installed. Se o agente não estiver instalado, pode utilizar a função de extensões para o implantar automaticamente no VM utilizando uma tarefa de reparação, uma experiência de inscrição que se compara com os VMs Azure.If the agent isn't installed, you can use the extensions feature to automatically deploy it to the VM using a remediation task, an enrollment experience that compares to Azure VMs.

Limpe o seu ambienteClean up your environment

Complete os seguintes passos para limpar o seu ambiente.Complete the following steps to clean up your environment.

  1. Retire as máquinas virtuais de cada ambiente utilizando as instruções de demolição de cada uma das seguintes guias.Remove the virtual machines from each environment using the teardown instructions from each of the following guides.

  2. Remova o espaço de trabalho Log Analytics executando o seguinte script em Azure CLI.Remove the Log Analytics workspace by running the following script in Azure CLI. Forneça o nome do espaço de trabalho que usou ao criar o espaço de trabalho Log Analytics.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes